Zerologon, vulnerabilitat per als controladors de domini de Windows Server
Publicat el dia
Zerologon: La nova vulnerabilitat crítica que afecta els controladors de domini de Windows Server, no es soluciona només actualitzant.
Sembla que està sent un mal any per a Redmon. Fa un parell de mesos un equip de seguretat va reportar a Microsoft una vulnerabilitat explotable en el seu sistema Netlogon CVE-2020-1472, que permeti una escalada de privilegis. Actualment aquest sistema s’utilitza per a la comunicació de tots els clients (Windows o Altres dispositius) amb controladors de Domini de Windows en totes les seves versions.
Aquesta vegada, la vulnerabilitat afecta intrínsecament al protocol de Netlogon. Això significa que no és possible actualitzable sense modificar el comportament del servei Netlogon.
El que Microsoft ha fet és separar aquesta actualització en 2 fases:
Fase 1: Fase d’implementació inicial
Aquesta fase es va iniciar amb una actualització de l’11 d’agost, que entre altres coses realitza:
- Forçar la implementació segura de Netlogon en equips clients que la suportin
- Registrar en el log de sistema amb esdeveniment ID 5829, les connexions que encara connecten amb el protocol antic.
Durant aquesta fase cal auditar el servidor, amb l’ajuda de l’esdeveniment 5829, per eliminar totes les connexions que fan servir el protocol Netlogon antic, fins que el visor d’esdeveniments quedi net d’aquest esdeveniment.
Fase 2: Fase d’exigència
Aquesta fase es llança el 9 de febrer de 2021. I consisteix a desactivar el servei Netlogon antic, exigint únicament la nova implementació de Protocol. En cas de no ser possible s’haurà d’exigir, via directiva de grup, “Permetre connexions de canals segurs de Netlogon vulnerables”.
Aquesta explotació requereix accés previ amb usuari de privilegis limitats a la infraestructura, amb el que a priori dificulta un atac massiu des de l’exterior, però alhora i sobretot en infraestructures grans, suposa un gran treball per als departaments d’IT i seguretat.
Els clients que tenen contracte de manteniment de sistemes de Vunkers IT Experts, ja tenen aplicades les actualitzacions. A més, monitorem els accessos Netlogon vulnerables, perquè no s’hagin de preocupar en el llançament de la fase 2.
Vunkers IT Experts, experts en seguretat de sistemes.